Κινέζοι χάκερ που υποστηρίζονται από το κράτος έχουν αναπτύξει μια παραλλαγή Linux για την κερκόπορτα SideWalk που χρησιμοποιείται σε συστήματα Windows που ανήκουν σε στόχους στον ακαδημαϊκό τομέα.
Το κακόβουλο λογισμικό αποδίδεται με μεγάλη εμπιστοσύνη στην ομάδα απειλών SparklingGoblin, η οποία επίσης παρακολουθείται ως Earth Baku, η οποία πιστεύεται ότι συνδέεται με την ομάδα κυβερνοκατασκοπείας APT41.
Στοχεύοντας τον ακαδημαϊκό τομέα
Η κερκόπορτα του SideWalk Linux έχει παρατηρηθεί στο παρελθόν, αρχικά ως StageClient από ερευνητές ασφάλειας στην εταιρεία κυβερνοασφάλειας ESET.
Μια πρώιμη παραλλαγή του κακόβουλου λογισμικού εντοπίστηκε από ερευνητές στο 360 Netlab, την ομάδα πληροφοριών απειλών στην κινεζική εταιρεία ασφάλειας Διαδικτύου Qihoo 360, και αναφέρθηκε πριν από δύο χρόνια σε μια ανάρτηση ιστολογίου σχετικά με το botnet Spectre που χτυπά κάμερες IP.
Αφού ανέλυσαν το Spectre και το StageClient, οι ερευνητές της ESET διαπίστωσαν ότι και τα δύο κομμάτια κακόβουλου λογισμικού έχουν την ίδια ρίζα και είναι παραλλαγές Linux του SideWalk.
Το 2021, ερευνητές στο Trend Micro τεκμηρίωσαν νέα εργαλεία από μια εκστρατεία κυβερνοκατασκοπείας που αποδίδεται στο APT41/Earth Baku, συμπεριλαμβανομένης της κερκόπορτας SideWalk, την οποία παρακολουθούν ως ScrambleCross.
Η ESET σημειώνει σε μια σημερινή της έκθεση ότι ενώ το SideWalk Linux έχει χρησιμοποιηθεί κατά πολλαπλών στόχων στο παρελθόν, τα δεδομένα τηλεμετρίας της δείχνουν ότι η παραλλαγή που ανακάλυψαν εφαρμόστηκε μόνο σε ένα θύμα τον Φεβρουάριο του 2021, ένα πανεπιστήμιο στο Χονγκ Κονγκ.
Το SparkGoblin επικεντρώθηκε στον ίδιο στόχο στο παρελθόν, θέτοντας σε κίνδυνο το ίδιο πανεπιστήμιο τον Μάιο του 2020, κατά τη διάρκεια των διαδηλώσεων των φοιτητών.